WPScan - Escáner de seguridad de WordPress - KolMitE

WPScan – Escáner de seguridad de WordPress

WPScan – Escáner de seguridad de WordPress

noviembre 23, 2020 General 0

Descripción

El complemento WPScan WordPress Security Scanner escanea su sistema a diario para encontrar vulnerabilidades de seguridad enumeradas en la base de datos de vulnerabilidades de WPScan WordPress. Muestra un icono en la barra de herramientas de administración con el número total de vulnerabilidades de seguridad encontradas.

La base de datos de vulnerabilidades de WordPress de WPScan es una base de datos de vulnerabilidades de WordPress, que incluye vulnerabilidades centrales de WordPress, vulnerabilidades de complementos y vulnerabilidades de temas. La base de datos es mantenida por el equipo de WPScan, que está 100% enfocado en la seguridad de WordPress.

Para utilizar el complemento de seguridad de WordPress de WPScan, deberá utilizar un token de API gratuito registrándose aquí.

El complemento de seguridad de WordPress de WPScan también buscará otros problemas de seguridad, que no requieren un token de API, como:

  • Compruebe si hay archivos debug.log
  • Compruebe si hay archivos de copia de seguridad wp-config.php
  • Compruebe si XML-RPC está habilitado
  • Verifique los archivos del repositorio de código
  • Compruebe si se utilizan claves secretas predeterminadas
  • Buscar archivos de base de datos exportados

¿Qué hace el complemento?

  • Analiza el núcleo, los complementos y los temas de WordPress en busca de vulnerabilidades de seguridad conocidas;
  • Realiza controles de seguridad adicionales;
  • Muestra un icono en la barra de herramientas de administración con el número total de vulnerabilidades de seguridad encontradas;
  • Le notifica por correo cuando se encuentran nuevas vulnerabilidades de seguridad.

Otras lecturas

  • Base de datos de vulnerabilidades de WordPress WPScan
  • Escáner de seguridad de WordPress WPScan
  • WPScan Twitter

Capturas de pantalla

  • Lista de vulnerabilidades e icono en la barra de administración.
  • Configuración de las notificaciones.
  • Página de salud del sitio.

Instalación

  1. Subir wpscan.zip contenido para el /wp-content/plugins/ directorio
  2. Active el complemento a través del menú ‘Complementos’ en WordPress
  3. Regístrese para obtener un token de API gratuito

  4. Guarde el token de API en la página de configuración de WPScan o dentro del archivo wp-config.php

Preguntas más frecuentes

  • ¿Cuántas llamadas a la API se realizan?

    Hay una llamada a la API realizada para la versión de WordPress, una llamada para cada complemento instalado y una para cada tema. De forma predeterminada, hay un escaneo por día. El número de análisis diarios se puede configurar al configurar las notificaciones.

  • ¿Cómo puedo configurar el token de API en el archivo wp-config.php?

    Para configurar su token API en el archivo wp-config.php, use el siguiente código PHP: define( 'WPSCAN_API_TOKEN', '$your_api_token' );

  • ¿Cómo desactivo el análisis de vulnerabilidades por completo?

    Puede configurar la siguiente constante PHP en el archivo wp-config.php para deshabilitar el escaneo; define( 'WPSCAN_DISABLE_SCANNING_INTERVAL', true );.

  • ¿Por qué no se muestran la sección “Resumen” y el botón “Ejecutar todo”?

    El trabajo cron no se ejecutó, lo que puede deberse a:

    • La constante DISABLE_WP_CRON se establece en verdadera en el archivo wp-config.php, pero no se ha establecido ningún cron del sistema (crontab -e).
    • Las páginas de almacenamiento en caché de un complemento están habilitadas (consulte https://wordpress.stackexchange.com/questions/93570/wp-cron-doesnt-execute-when-time-elapses?answertab=active#tab-top).
    • El blog no puede realizar una solicitud de bucle invertido, consulte Herramientas-> Estado del sitio para obtener más detalles.

    Si el problema no se puede solucionar con lo anterior, poniendo define('ALTERNATE_WP_CRON', true); en el wp-config.php podría ayudar, sin embargo, reducirá el SEO del blog.

Reseñas

Ligero y genial

Panos
13 de noviembre de 2020
Enchufe ligero y excelente: haga lo que dice.

Debe tener

mehdiag2r
9 de noviembre de 2020
El mejor complemento para verificar tu seguridad.

Útil y eficaz

ΞX.MI
14 de octubre de 2020
Un pequeño complemento que informa a tiempo los temas y complementos vulnerables instalados en su sitio web. Eficaz y muy fácil de usar, ¡imprescindible!

Inútil en versión gratuita

mxmcreación
5 de octubre de 2020
Este complemento es una pérdida de tiempo cuando se usa con un token API gratuito (50 solicitudes por 24 horas). Probado en un entorno de un solo sitio con 1 tema y 18 complementos. En parte funciona, pero el problema es que verificará solo la mitad de los complementos y luego se detendrá, nunca completará al menos un informe de escaneo completo … Creo que la versión de demostración debería ser algo más funcional que eso.

Grandes complementos, buen trabajo

adfreeman64
8 de mayo de 2020
Fue fácil de instalar y me mantiene informado sobre problemas de seguridad. ¡Recomendaría!

¡Complemento muy útil y fácil de usar!

Chantelmerinowale
5 de mayo de 2020
Este complemento realmente ayudó a mi empresa, es fácil de usar e instalar. Muy recomendable.

Leer las 17 reseñas

Colaboradores y desarrolladores

“WPScan – WordPress Security Scanner” es un software de código abierto. Las siguientes personas han contribuido a este complemento.

Colaboradores

  • Ethicalhack3r

  • FireFart

  • erwanlr

“WPScan – WordPress Security Scanner” ha sido traducido a 8 idiomas locales. Gracias a los traductores por sus contribuciones.

Traduzca “WPScan – Escáner de seguridad de WordPress” a su idioma.

Interesado en el desarrollo?

Explore el código, consulte el repositorio de SVN o suscríbase al registro de desarrollo mediante RSS.

Registro de cambios

1.12.3

  • Mejorar el manejo de errores de la API de WPScan
  • Agregar URL de estado en los errores de la API de WPScan
  • Eliminar doing_cron transient en la activación del complemento
  • Reemplace la función PHP xmlrpc_encode_request ()
  • Cuadro de entrada de configuración de token de API de desenfoque

1.12.2

  • Corregir error: la declaración del caso debería ‘romperse’

1.12.1

  • Corregir error: manejar errores 404 de la API

1.12

  • Código de refactorización
  • Agrega un sistema de control de seguridad
  • Compruebe si hay archivos debug.log
  • Compruebe si hay copias de seguridad de wp-config.php
  • Compruebe si XMLRPC está habilitado
  • Compruebe si se utilizan claves predeterminadas en wp-config.php
  • Compruebe si hay archivos de repositorio de código .svn y .git
  • Crear un meta-cuadro de vulnerabilidades para ignorar
  • Corrige el mensaje y la posición incorrectos del tema cerrado en el informe
  • Mostrar mensaje si la API no funciona
  • Tiempo de espera de trabajos cron
  • Solucionar el error 404 en devtools

1,11

  • Cambie las referencias de wpvulndb a wpscan.com

1,10

  • Agregue la constante WPSCAN_DISABLE_SCANNING_INTERVAL para deshabilitar el escaneo automático
  • Agregue una opción en la configuración para ignorar elementos
  • Agregue una opción en la configuración para establecer el tiempo de escaneo
  • Mostrar un mensaje de no encontrado en la base de datos
  • Otras correcciones de errores menores

1,9

  • Agregar la opción de intervalo de escaneo a la página de configuración
  • Algunas otras pequeñas mejoras

1.8

  • Mostrar calificaciones de gravedad para usuarios empresariales
  • Mostrar etiqueta de complemento cerrado
  • Añadir descarga de informe en PDF
  • Agregar cuadro de meta de estado de cuenta
  • Agregue soporte para la constante de token de API en el archivo wp-config.php
  • Mostrar vulnerabilidades en el estado del sitio
  • Actualizar el icono del menú a monocromo

1,7

  • Mensajes de texto y mensajes actualizados para reducir la confusión
  • Se eliminó la clase WPScan_JWT porque ya no es necesaria

1,6

  • Utilice el nuevo método de ayuda de slug en todos los elementos de la página

1,5

  • Mejor detección de babosas antes de llamar a la API

1.4

  • Evita que se ejecuten varias tareas simultáneamente
  • El botón Comprobar ahora está desactivado y el icono giratorio se muestra cuando ya se está ejecutando una tarea
  • La página de resultados se vuelve a cargar automáticamente cuando la tarea finaliza (se comprueba cada 10 segundos)

1.3

  • Utilice el punto final de la API / status para determinar si el token es válido. Como resultado, una llamada ya no se consume al configurar / cambiar el token de API.
  • Recorte y elimine la ‘v’ inicial potencial en las versiones al compararlas con los valores de fixed_in.

1.2

  • Agregar aviso sobre licencias pagas

1.1

  • Advertir si se alcanzó el límite de API

1.0

  • Primer lanzamiento.



Por favor Comparte y Síguenos:
RSS
Follow by Email
Facebook
Twitter

Deja una respuesta